Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco Investigazioni digitali 2.0 - il “Malware di Stato” Investigazioni Digitali 2.0 “Malware di Stato” Ferdinando Ditaranto, Digital Forensics Specialist Referente Area Reati Informatici presso la Sezione di P.G. della Procura della Repubblica di Monza Paolo Dal Checco, Consulente Informatico Forense Studio Associato Di.Fo.B
43
Embed
Investigazioni Digitali 2.0 “Malware di Stato” · Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco Investigazioni digitali 2.0 - il “Malware
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Investigazioni Digitali 2.0
“Malware di Stato”
Ferdinando Ditaranto, Digital Forensics Specialist
Referente Area Reati Informatici presso la Sezione di P.G. della Procura della Repubblica di Monza
Paolo Dal Checco, Consulente Informatico Forense
Studio Associato Di.Fo.B
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Ferdinando Ditaranto
Referente Area Reati Informatici presso la Sezione di P.G. della
Procura della Repubblica di Monza;
Perfezionato in Computer Forensics e Investigazioni Digitali presso
l’Università degli Studi Milano;
Certificato CIFI (Certified Information Forensics Investigator) e ACE
(AccessData Certified Examiner)
Collaboratore delle cattedre di Informatica Giuridica ed Informatica Giuridica Avanzata presso la Facoltà di Giurisprudenza
dell’Università degli Studi di Milano, nonché del Corso di
Perfezionamento in Computer Forensics e Data Protection.
Associato Tech & Law, IISFA, DFA, ONIF.
2
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Paolo Dal Checco
PhD @UniTO nel gruppo di Sicurezza delle Reti e degli Elaboratori
Professore a Contratto di Sicurezza Informatica @Università degli Studi di Torino, Scuola di Scienze Strategiche
Tra i fondatori dell’Associazione DEFTA (www.deftlinux.net) e ONIF (www.onif.it)
Direttivo Associazione IISFA
Socio Tech & Law, Clusit, Assob.It, AIP
3
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Cosa si “captava” in passato
Lettera
Telegramma
Telefono/Fax
Cellulare
SMS
Email
Web
Chat
4
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Monitoraggio dell’intelligence militare
Analisi di sessioni massive di traffico (anche satellitare), attraverso l’uso di filtri parametrici (cd. Sonde) che scandagliano i dati in transito sui nodi di macrocomunicazione (cd. dorsali o backbone).
Progetto ECHELON “I cinque occhi”, elaborato dagli Stati Uniti, e supportato da UK,Nuova Zelanda, Canada e Australia, nel quale vengono impiegate tecniche sia generiche di elaborazione del parlato (cd. Speech Processing) o del testo (cd. Natural Language Processing), sia avanzate come quelle di analisi semantica (cd. Intelligence Data Mining) che consentono di individuare termini predeterminati. Fino a arrivare a tecniche, ancora più evolute, come la decifratura o l’individuazione steganografica.
5
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Monitoraggio investigativo
Si concentra tipicamente su singole sessioni di traffico.
Intercettazioni giudiziarie(artt.266 e ss. Cpp) e intercettazioni preventive (artt. 226 att. Cpp e 12 L.133/2012).
Providers di connettività canalizzano il flusso di dati cifrato (audio, video e informazioni) verso server dedicati allocati all’interno delle Procure della Repubblica (art.268 comma 3° Cpp), da cui viene poi reindirizzato (cd. remotizzazione) verso singole postazione della polizia giudiziaria (procedura standardizzata).
L’operatore di P.G. dispone di una potente interfaccia remota di controllo con cui può, ad esempio, monitorare diverse utenze telefoniche, ascoltare un’intercettazione ambientale, regolare la sensibilità dei microfoni o applicare dei filtri ai rumori di fondo, incrociare dati, pilotare telecamere o controllare un Trojan.
6
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Elemento determinante :
“Fattore umano”
L’operatore di Polizia Giudiziaria deve possedere sia competenza sia esperienza, caratteristiche imprescindibili che, attraverso la contestualizzazione e la correlazione del dato, consentono la corretta interpretazione dell’informazione carpita.
7
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Le intercettazioni dati nel passato
“ADSL Tapping”
8
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Le intercettazioni dati nel passato
“ADSL Tapping”
9
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Arriva la privacy (ma per pochi)
PGP/GPG (Zimmerman). Il fautore della crittografia asimmetrica
come software libero alla portata di tutti.
Criptofonini (2002-oggi)
10
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Il declino del MAN IN THE MIDDLE
11
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
LA CRYPTO-MOBILE
12
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
LA CRYPTO-MOBILE
13
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Le nuove tecnologie sono per (quasi) tutti
Sistemi di messaggistica (chat/audio/video) su PC
Skype, Jabber, Facebook Messenger
Sistemi di messaggistica (chat/audio/video) su cellulare
Whatsapp, Telegram, Signal, Viber, Snapchat, Twitter, Google
Chiamate VoIP
Facebook Messenger, Whatsapp, Signal
La rete Tor
Chat sul Dark Web
Protocolli alternativi
BitMessage
14
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
La cifratura “end-to-end”
Whatsapp, Telegram, Signal, Viber
Chat, audio, video ma anche file e desktop sharing
Cifrate fin dall’inizio, vanno ora verso cifratura end-to-end
Inutili gli attacchi verso il server del provider
15
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
La cifratura “end-to-end”
La sicurezza si sposta sul dispositivo, non più sul server che
diventa un mero “tramite” spesso senza archiviazione log
Differenza tra cifratura semplice ed end-to-end:
La cifratura “semplice” prevede che la chiave sia condivisa con il
server e quindi i messaggi siano visibili ad esso (può archiviarli)
La cifratura “end-to-end” fa sì che la chiave sia nota soltanto agli
interlocutori (il server non legge né archivia i messaggi)
16
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Il “Tallone di Achille”
della cifratura end-to-end
Risulta vulnerabile alla tecniche di Spoofing (cd. falsificazione
dell’identità digitale). L’attaccante potrebbe avviare uno
scambio di pacchetti simulando di essere uno dei nodi
legittimati allo scambio e, pertanto, otterrebbe le chiavi di cifratura e, dunque, riuscirebbe a decifrare i messaggi.
Il device che contiene le chiavi di cifratura potrebbe essere
violato attraverso una vulnerabiltà non nota (Zero Day) del sistema “bersaglio”.
17
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
IL MALWARE (maliciuos software)
Il malware è un programma (sequenza di istruzioni) che
subdolamente si installa su un computer, smartphone, tablet,
etc. sfruttando una vulnerabilità nella sicurezza del dispositivo
(cfr. exploit) e consentendo ad un attaccante di assumere il
completo controllo da remoto.
18
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Come sono strutturati:
Diversi livelli:
Dropper: componente (facoltativa) che
provvede a scaricare sul target il vero e
proprio “captatore”
Email con Allegato, SMS, Link su
Whatsapp,
rete WiFi, attacco su rete, etc…
Payload: il “captatore”, un programma che
acquisisce le informazioni richieste e le invia
a un centro di raccolta (o le archvia per
futura acquisizione)
19
Camera Penale di Monza, 17 e 24 febbraio 2017 Ferdinando Ditaranto -Paolo Dal Checco
Investigazioni digitali 2.0 - il “Malware di Stato”
Requisiti (tecnici) dei captatori
Invisibilità agli Antivirus/Antispyware (almeno del dropper, il
payload si può isolare in modo diverso)
Invisibilità al sistema (nessun rallentamento, processo evidente,
Possibilità di comunicare con l’esterno senza farsi rilevare